equipos de respuesta a incidentes csirt cert clase_tres_auo
DESCRIPTION
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.TRANSCRIPT
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
EQUIPOS DE RESPUESTA A INCIDENTES (CSIRT/CERT)
Jhon Jairo Hernández HernandezAnalista Seguridad Informática
Investigador Informática Forense
Password S.A.TheMuroGroup
Asesor/ Consultor TICs
Compulink-jjhNickname – Dinosaurio (Dino)
http://World-Of-Dino.blogspot.com
@d7n0
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
QUÉ ES UN CSIRT?
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
QUÉ ES UN CSIRT?
Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que ayude a mejorar la seguridad de estos sistemas.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Hablemos de su HistoriaEntre los 80-90: Hay Surgimiento de diversas organizaciones:
En 1990: Conformación del FIRST - Forum of Incident Response and Security Teams
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
CERT Statistics (Historical) Carnegie Mellon University's
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
La siguiente tabla y gráfica muestran los incidentes detectados por el UNAM-CERT desde el 2004. Desde las mejorar en nuestros sistemas de detección en el 2009, se aprecia una tendencia de decremento sustancial en 2010 y 2011, registrando la menor cantidad de incidentes desde 2005.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM
La siguiente tabla y gráfica muestran la cantidad de incidentes registrados en el UNAM-CERT por trimestre durante 2011. Se aprecia un decremento conforme avanza el año, debido a la falta de actividad en los meses vacacionales.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Reporte trimestral de incidentes en Red-UNAM 2010
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
¿Qué es un incidente de seguridad?
Un incidente de Seguridad Informática está definido como un evento que atente contra la Confidencialidad, Integridad y Disponibilidad de la información
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Las funciones de un CERT/CSIRT son:
Ayudar al público objetivo (constituency) a atenuar y prevenir incidentes graves de seguridad.
Ayudar a proteger informaciones valiosas.Coordinar de forma centralizada la seguridad de la información.
Guardar evidencias, por si hubiera que recurrir a pleitos.Apoyar y prestar asistencia a usuarios para recuperarse de las consecuencias de los incidentes de seguridad.
Dirigir de forma centralizada la respuesta a los incidentes de seguridad - Promover confianza, que alguien controla la situación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Servicios de un CERT/CSIRT :
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
1. Desarrollar una política de respuesta a incidentes2. Desarrollar procedimientos para el manejo de incidentes,
basados en la Política3. Establecer relaciones entre el equipo de respuesta a
incidentes y otros grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs,etc.)
4. Definir guías para la comunicación con terceros en caso de incidentes
5. Organizar un equipo de respuesta a incidentes, definir y asignar funciones
6. Determinar qué servicios proveerá el equipo de respuesta a incidentes
7. Entrenar al equipo de respuesta a incidentes
Creando una capacidad de respuesta de incidentes:
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Gestión de incidentes de seguridad
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de categorización de incidentes:
• POR TIPO DE INCIDENTE• POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS
Preparación y Prevención
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de clasificación de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de clasificación de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Otras medidas de preparación
1.Definir políticas, normas y procedimientos para la gestión de Incidentes:
2.Preparar el CSIRT o VCSIRT3.Entrenar al personal4.Documentar un mapa de la topología y
arquitectura de la red5.Documentar la configuración del equipamiento6.Crear patrones de redes y sistemas7.Comprender el funcionamiento normal
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
1. Activar los logs en las diferentes plataformas y aplicaciones y en el equipamiento de comunicaciones
2. Utilizar logging centralizado y crear una política de almacenamiento de logs
3. Mantener los relojes de todos los equipos sincronizados
4. Crear sumas de comprobación criptográficas (cryptographic checksums)
5. Definir e implementar esquemas de resguardos de datos
6. Contactos
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Preparación y Prevención
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
Considerar la necesidad de utilizar herramientas para:
1. Detección de incidentes2. Monitoreo3. Análisis de incidentes – análisis forense4. Documentación de incidentes
1. 2. 3.
4.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Prevención de incidentes
Análisis periódicos de riesgos Mejores prácticas de seguridad Auditorías periódicas Administración de actualizaciones Fortalecimiento de la seguridad de los equipos Seguridad en la red Prevención de código malicioso Concientización y capacitación de usuarios
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección y Notificación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección y Notificación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
IDS - Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)
Software de antivirus Software de control de integridad de archivos Sistemas de monitoreo de red (NMS) Análisis de registros de auditoría (logs) Información pública Usuarios del organismo Personas externas al organismo
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Análisis Preliminar
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Análisis Preliminar
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Análisis Preliminar
Cómo determinar el alcance:
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Métodos de recolección de información
Análisis Preliminar
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Contención, Respuesta y Recuperación
Considerar los siguientes factores para la selección de una estrategia:
Daño potencial de recursos a causa del incidente Necesidad de preservación de evidencia Tiempo y recursos necesarios para poner en práctica la estrategia Efectividad de la estrategia (ej.: total o parcialmente) Duración de las medidas a tomar (ej.: período sin sistema) Criticidad de los sistemas afectados Características de los posibles atacantes Si el incidente es de conocimiento público Pérdida económica Posibles implicancias legales Relación costo-beneficio de la estrategia Experiencias anteriores
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de contención de incidentes
Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de erradicación de incidentes
Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de recuperación de incidentes
Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Investigación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Recolección de evidencia
Investigación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Proceso de recolección de evidencia
Investigación
1. Registrar información que rodea a la evidencia2. Tomar fotografías del entorno de la evidencia3. Tomar la evidencia4. Registrar la evidencia5. Rotular todos los medios que serán tomados como evidencia6. Almacenar toda la evidencia en forma segura7. Realizar las investigaciones en “duplicados de trabajo”
de la evidencia original8. Generar copias de seguridad de la evidencia original9. Realizar revisiones periódicas para garantizar que la evidencia se encuentra
correctamente conservada
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Documento: Denuncia de un Incidente en el que seencuentra involucrada Tecnología Informática.
Investigación
http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf
1)Dónde denunciar
2)Aspectos a tener en cuenta según el denunciante
3)Quiénes deben estar involucrados
4)Recomendaciones generales
5) Recomendaciones relacionadas con la obtención de evidencia digital
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Actividades Posteriores
1. Organizar reuniones2. Mantener la documentación3. Crear bases de conocimiento4. Integrar la gestión de incidentes al
análisis de riesgos5. Implementar controles preventivos6. Elaborar Tableros de Control
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Actividades PosterioresTablero de control de incidentes de seguridad
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com